ACTUALIDAD | Artículos | 31 JUL 2009

Todo lo que debe saber un CSO sobre phishing

CSO

El phishing es un método para recopilar información personal utilizando e-mails y websites engañosos. El pharming también trata de recoger información privada, pero imitando y suplantando las rutas que usan los ordenadores para navegar por la web. Ni uno ni otro método son plato de gusto del CSO, ni de los empleados ni clientes de su empresa. A continuación le contamos lo que debe saber y le explicamos cómo estar en guardia contra phishing y pharming.

¿Qué es el phishing?

El phishing es un método para obtener información personal usando correos electrónicos y sitios web falsos. Generalmente el phisher envía un mensaje con apariencia legítima de petición de datos. Por ejemplo, puede hacerse pasar por un banco que pide a sus clientes que verifiquen los datos financieros (por lo tanto, el phishing es una forma de ingeniería social). La dirección de e-mail se disfraza para que parezca proceder de un empleado o departamento legítimo de la empresa señuelo, y generalmente incluye un enlace a un sitio web que tiene el mismo aspecto que el del banco, en este caso. No obstante, se trata de una web fraudulenta, y cuando la víctima teclea su contraseña u otros datos sensibles, la información es captada por el phisher. Estos datos pueden ser utilizados para cometer diversos tipos de fraude y robo de identidad, desde comprometer la seguridad de una única cuenta bancaria hasta poner en peligro montones de ellas.

Los primeros ataques de phishing eran bastante burdos, con errores tipográficos llamativos y una gramática lamentable. No obstante, han mejorado mucho con el tiempo. Los phishers suelen copiar los textos directamente de la correspondencia oficial de la empresa señuelo y los sitios web ahora parecen casi réplicas de los sitios legítimos, con el logo de la compañía y otras imágenes. Incluso cuentan con una barra de estado falsa que muestra el candado de seguridad al que están acostumbrados los usuarios. Los delincuentes suelen registrar dominios que parecen plausibles, como cuentasbankinter.es, micitibank.net o paypa1.com (usando el número uno en lugar de la letra ele). Incluso puede que envíen a las víctimas al sitio real de una compañía bien conocida y recojan los datos personales a través de una ventana emergente falsa. 

¿Se pueden evitar los ataques?

Las empresas pueden reducir las posibilidades de convertirse en objetivo de los phishers, y por tanto reducir el posible daño que estos delincuentes pueden hacer, pero realmente no se puede evitar. Una razón por la que son tan convincentes los mensajes de phishing es que la mayoría tienen remitentes falsificados, de modo que parecen proceder de la compañía señuelo. No hay forma de evitar que alguien falsee el remite del e-mail y lo haga parecer legítimo.

Sin embargo, una nueva tecnología conocida como “autenticación del remitente” promete limitar los ataques de phishing en cierta medida. La idea es que las pasarelas de correo electrónico puedan verificar que los mensajes proceden del remitente legítimo; es decir, que un mensaje de Caja Madrid se ha originado realmente en un servidor legítimo de Caja Madrid. Así, los mensajes de direcciones engañosas podrían ser automáticamente etiquetados como fraudulentos y eliminados. Antes de entregar un mensaje, el proveedor de Internet podría comparar la dirección IP del servidor que envía el mensaje contra una lista de direcciones válidas para el dominio remitente, de la misma forma en que los ISP buscan la dirección IP de un dominio para enviar un mensaje. Sería una especie de versión online de la identificación y el bloqueo de llamadas.

Aunque el concepto es claro, la implementación está siendo lenta porque las grandes empresas de Internet tienen diferentes ideas de cómo acabar con el problema. Pueden pasar años hasta que los diferentes grupos limen asperezas y se decidan a implementar un estándar. Incluso entonces no habrá forma de garantizar que los phishers no encontrarán otra forma de saltarse esta protección (igual que se pueden falsear los números de identificación de llamada en la red de telefonía). Por este motivo, mientras tanto, muchas organizaciones –y cada vez más proveedores de servicios- se han puesto manos a la obra de forma independiente.

¿Qué puedo hacer para reducir las posibilidades de que mi empresa sea objeto de un ataque de phishing?

En parte la respuesta tiene que ver con NO hacer cosas que puedan incrementar la vulnerabilidad de su empresa. Ahora que el phishing forma parte de nuestras vidas, muchas empresas deben tener cuidado cuando se comunican con sus clientes por e-mail. Por ejemplo, en mayo de 2004 los tel

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información